Por “Col•lectiu Ronda”. Barcelona
Denominamos phishing a las prácticas ilegales de piratas informáticos para apropiarse de datos personales y claves bancarias con la intención de suplantar nuestra personalidad y atacar nuestro patrimonio. Un fenómeno de incidencia creciente frente a la cual hay que conocer nuestros derechos como consumidores.
La palabra phishing” alcanza un amplio catálogo de prácticas tan fraudulentas como a menudo sofisticadas con el denominador común de pretender «pescar» nuestros datos personales (de aquí el verbo inglés empleado para bautizarlo) para operar en nombre nuestro a través de servicios bancarios en línea y disponer a voluntad de nuestro patrimonio.
Las técnicas empleadas por los ciberdelincuentes en la hora de hacerse con esta valiosa información son casi infinitas pero a menudo presentan un rasgo común: los piratas se ponen en contacto con nosotros haciéndose pasar por nuestra entidad financiera, por ejemplo, y nos solicitan que visitemos su página web para introducir información de seguridad (claves secretas, números PIN, contraseñas…) con la excusa de resolver algún tipo de problema relacionado con la operativa de nuestra cuenta, tarjetas de crédito, etc. El problema está en que ni la petición proviene del banco ni la página donde se nos dirige es la de la entidad, a pesar de pueda parecer absolutamente idéntica, y el que estamos haciendo es facilitar a los delincuentes la información que necesitan para realizar compras en línea, ordenar transferencias o contratar préstamos a nuestro nombre.
En otros ocasiones, la técnica empleada por los hackers no es la de petición directa y camuflada sino que a través del correo electrónico, por ejemplo, introducen programas informáticos maliciosos en nuestros teléfonos móviles y equipos informáticos desde los cuales pueden rastrear nuestra actividad y grabar datos y contraseñas sin que seamos conscientes.
Estas dos modalidades que os acabamos de describir son, sin duda, las dos formas más habituales de phishing a día de hoy, pero no las únicas. A continuación, os explicamos brevemente otras técnicas empleadas por los ciberdelincuentes a la hora de captar ilícitamente nuestros datos personales:
Phishing basado en las DNS: Una de las formas más sofisticadas. Los atacantes se apoderan del control del sistema huesped de una empresa (es decir, de los servidores donde se aloja su página web) para que cuando nosotros la visitemos, tecleando la dirección de la página donde queremos llegar, se nos redirija a una página diferente controlada por ellos mismos. Esta página es de apariencia idéntica a la que nosotros queríamos visitar de tal forma que podamos no ser conscientes en ningún momento que estamos en un sitio web diferente y que la información que estamos abocando pase a manos de terceras personas.
Phishing en los buscadores: En ocasiones, la táctica de los ciberdelincuentes es crear páginas web que no pretenden hacerse pasar por otras páginas sino que son sitios web de apariencia «legal» donde se anuncian, por ejemplo, servicios que en realidad no se ofrecen o se oferten productos inexistentes. En este caso, el problema está en que los datos que nosotros ofrecemos para adquirir estos productos o servicios no se gestionan mediante la pasarela de pago de una entidad bancaria sino a través de un sistema -este sí fraudulento- creado por los propios delincuentes para captar la información. En algunos casos, estas páginas fraudulentas llegan a publicitarse a través de servicios de anuncios en buscadores como por ejemplo google ads, reforzando la falsa apariencia de estar ante un sitio web ajeno a cualquier ánimo delictivo.
Manipulación de páginas webs legales: Otra forma muy sofisticada de captación de datos de particulares es aquella en que los piratas informáticos consiguen manipular y sustituir solo una parte de un sitio web legal para apropiarse de los datos que allá se aboquen aprovechándose de alguna debilidad o imperfección del sistema de seguridad de la propia página. Para las personas usuarias, esta es una modalidad casi indetectable pues la página web es realmente la que nosotros queríamos visitar y no tenemos forma de saber que está actuando, sin ninguna señal externa, como un verdadero zombi, bajo control de los ciberdelincuentes.
Redes wifi fraudulentas: Con esta técnica, los piratas crean redes wifi disponibles con capacidad para alcanzar espacios públicos (cafeterías, por ejemplo) que identifican con el nombre del establecimiento. Cuando la gente se conecta creen que están haciendo uso de un servicio ofrecido por el espacio donde nos encontramos, en realidad están accediendo en una red donde toda la información que abocamos es fácilmente rastreable por los delincuentes.
Phishing a través de los servicios de atención al cliente de compañías: Una modalidad a medio camino entre una clásica estafa «analógica», digámoslo así, y una cibernética. Los piratas consiguen los datos de contacto de personas que han abocado en las redes sociales quejas o críticas a determinadas empresas. Las contactan haciéndose pasar por representantes de la propia empresa y acaban solicitándolos la información que requieren con la excusa, por ejemplo, de devolverles el dinero correspondiente a un servicio que no ha estado satisfactorio.
Duplicado de la tarjeta SIM: Una de las modalidades de phishing que está adquirido mayor relevancia por el gran número de personas afectadas es el que tiene que ver con el duplicado de la tarjeta SIM de los teléfonos móviles. Con los datos que los piratas consiguen captar sobre nosotros, se ponen en contacto con nuestro operador de telefonía haciéndose pasar por nosotros para vincular la tarjeta SIM a un nuevo dispositivo. De esta forma, cuando ordenan una operación en línea fraudulenta -por ejemplo una transferencia desde nuestra cuenta bancaria al de los delincuentes- están en disposición de introducir el código que la entidad nos hará llegar para validar la operación.
Estas y otras modalidad de phishing que os acabamos de describir brevemente son cada vez más recurrentes y van tomando el relevo de las formas de estafa en línea que habían sido las más habituales y que os hemos mencionado anteriormente, consistentes a hacernos llegar un correo que nos dirige a un sitio web fraudulento o instala programas malware para acceder en la información sensible que podamos transmitir en un momento dado.
Sea cual sea la estrategia de los delincuentes informáticos, el objetivo es idéntico: apropiarse de nuestro dinero y beneficiarse de la ingente cantidad de información que diariamente circula por internet.
Protección reforzada
Consciente de la magnitud del problema de seguridad que representa la actividad de los ciberdelincuentes, la Unión Europea aprobó una directiva, denominada de Servicios de Pago en el Mercado Interior, obligando los Estados miembros a introducir en su ordenamiento jurídico toda una serie de medidas de obligado cumplimiento para las empresas y entidades financieras destinadas a reforzar los controles y la protección de los usuarios. En el caso de España, estas medidas impuestas por la UE se adoptaron y aprobaron mediante la Ley de Servicios de Pagos que, entre otros medidas, establecía una nueva regulación de los servicios de pago y enfatizaba la necesidad de reforzar la ciberseguridad, creando un marco extenso de responsabilidad para las entidades a la hora de garantizar un entorno digital seguro por sus clientes y clientas.
Por un lado, existe el compromiso de autenticación reforzada, con el cual nos hemos ido familiarizando en el decurso de los últimos años y que implica, básicamente, que cualquier orden de pago esté supeditada a un proceso de doble validación. Es decir, que para concluir una operación sea necesario no tan solo introducir nuestra contraseña o código PIN sino también, adicionalmente, alguno otro mecanismo que solo pueda depender de la persona usuaria, ya sea usando una aplicación específica de validación instalada al móvil o factores exclusivamente inherentes a la propia persona como por ejemplo datos biométricos como puede serlo la huella digital.
Responsabilidad de las entidades
La normativa europea y la transposición de esta a la legislación española no tan solo introduce medidas significativas en cuanto a reforzar la seguridad de las personas usuarias. También acentúa la responsabilidad de las propias entidades en la hora de supervisar las operaciones de sus clientes y usuarios para detectar la existencia de prácticas fraudulentas que puedan suponer riesgo o indiquen, aunque sea de forma indiciaria, que la seguridad de la operación podría haber sido comprometida. Por lo tanto, las entidades (que son las proveedoras de los servicios de pago en línea) tienen que estar en disposición de detectar si la integridades de los diferentes elementos de autenticación usados para validar una operación han estado objeto de sustracción o la presencia de software malicioso (conocido como ‘*malware’) a las posibles transacciones.
Igualmente, las entidades tienen la obligación de analizar las diferentes operaciones realizadas a través de los medios que pose a disposición de sus clientes y clientas para identificar operaciones susceptibles de ser fraudulentas, hasta el punto de poder bloquearlas y no permitirlas hasta validar de forma fehaciente que es el usuario quien realmente está autorizándolas y no alguien otro que ha suplantado su personalidad con fines delictivos.
En este sentido, es muy importante recordar que la Ley de Servicios de Pago establece con claridad que las únicas operaciones válidas son aquellas que cuentan con el consentimiento de la persona ordenando y, por lo tanto, cuando un usuario niega haber otorgado este consentimiento, las entidades están obligadas a devolverle de forma inmediata el importe de la operación.
Deber de diligencia
Es habitual, pero, cuando se da un de estos supuestos en que los datos han sido obtenidos ilícitamente por un tercero con fines delictivos, el cliente afectado se encuentre, en primer término, con la negativa de la entidad a devolver el dinero. Sobre qué cimiento lo hacen? Pues básicamente, pretenden ampararse en una supuesta carencia de diligencia del propio cliente en la hora de conservar y proteger sus datos personales.
La carencia de diligencia, efectivamente, exonera de responsabilidad a las entidades, tal y como prevé el artículo 46 de la Ley de Servicios de Pago. Ahora bien, y según la legislación vigente, esta negligencia tiene que ser grave e imputable en exclusiva a la propia persona y, en este sentido, los tribunales españoles no acostumbran a apreciar negligencia por parte de los usuarios y usuarias salvo los casos más graves y evidentes, especificando una y otra vez en numerosas sentencias que son los bancos los responsables de mantener la seguridad de los medios utilizar para operar de forma telemática, adquirir productos o servicios y realizar transferencias, además de cualquier otra operación financiera. En todo caso, y esto conviene tenerlo muy presente, para quedar exento de responsabilidad tendrá que ser el propio banco quien demuestre de forma fehaciente que su cliente ha actuado con negligencia y que los perjuicios sufridos son imputables en exclusiva en su propia persona.
Qué tenemos que hacer si hemos sido víctimas de phishing?
En primer lugar, e imprescindible, si detectamos operaciones que nosotros no hemos ordenado, hay que contactar de forma inmediata nuestra entidad para que anule el medio de pago intervenido por los ciberdelincuentes y genere lo más rápidamente posible unas nuevas credenciales de seguridad.
Una vez realizado este trámite, tenemos que acudir en los cuerpos y fuerzas policiales para denunciar los hechos. A la hora de hacerlo, hay que aportar toda la documentación e información que sea posible sobre qué ha sido el medio utilizado por los piratas para conseguir nuestros datos y como se ha cometido el fraude del cual hemos estado víctimas. Esta información es capital no tan solo para ayudar a esclarecer los hechos sino también para demostrar ante la entidad que no ha habido negligencia por nuestra parte.
Después de denunciar, hay que dirigirse al servicio de atención al cliente de nuestra entidad para reclamar la devolución de los importes correspondientes a las operaciones realizadas fraudulentamente por los ciberdelincuentes informándoles de los hechos y de la presentación de la denuncia. Cómo explicábamos antes, es responsabilidad de la entidad restituir estos importes. En caso de negativa a hacerlo o si la entidad se limita a decir que se siguieron los procesos de autenticación establecidos por la normativa vigente y que los hechos no los son imputables, seguramente no tendréis más alternativa que emprender las acciones legales pertinentes para obligar la entidad a asumir sus responsabilidades. Recordamos, una vez más, que esta responsabilidad está contemplada por la legislación vigente y que la obligación de demostrar la existencia de una posible negligencia corresponde a la entidad que, en caso de no poder hacerlo, tal y como es habitual, incurre en responsabilidades legales y contractuales respeto el perjuicio que hemos sufrido.